"Самый продвинутый" руткит появился под 64-битные версии Windows 7

image

Теги: руткит, вредоносное ПО

Компания Prevx сообщила о появлении "самого продвинутого" руткита под 64-битную версию операционной системы Windows 7. Ранее данный руткит существовал только в 32-битном варианте, новая версия нацелена на более современные системы.

Компания Prevx сообщила о появлении "самого продвинутого" руткита под 64-битную версию операционной системы Windows 7. Ранее данный руткит существовал только в 32-битном варианте, новая версия нацелена на более современные системы. В Prevx говорят, что руткит TDL, также известный как Alureon, может заражать 64-битные Windows 7, обходя расширенные компоненты защиты, изначально как раз и созданные для того, чтобы блокировать различного рода атаки.

Новое программное обеспечение было опубликовано в понедельник GFI Software. Согласно данным этой компании, руткит TDL4 проникает в 64-битные Windows 7, обходя системы ядра Windows, работающие на основе политик подписи исполняемого низкоуровневого кода. То есть, любой код на уровне ядра Windows, работающий в системе, должен иметь соответствующую подпись, говорящую о том, что данный код (чаще всего это драйвер) происходит из надежного источника.

После проникновения в систему, руткит модифицирует главную загрузочную запись на жестком диске компьютера, изменяя условия загрузки ОС. По словам создателей, руткит меняет MBR на диске и устанавливает специальную политику под названием LoadIntegrityCheckPolicy, которая блокирует процесс валидации загружаемых программ и позволяет запускать на уровне ядра другие неподписанные DLL-библиотеки.

Согласно данным компании Prevx, руткит TDL является "самым продвинутым" набором для удаленного управления компьютером. Использовать его можно как бэкдор для инсталляции клавиатурных шпионов и других видов злонамеренного программного обеспечения.

Разработчики говорят, что одна из наиболее продвинутых систем защиты в Windows - это подпись кода, кроме того в 64-битной версии системы используется также и технология PatchGuard, которая блокирует драйверы, пытающиеся заменить собой некоторые важные функции ядра системы Windows. TDL за счет операций с загрузочным сектором обходит оба этих момента.


или введите имя

CAPTCHA
17-11-2010 12:49:46
следует ли это читать как "Новое программное обеспечение было опубликовано в понедельник GFI Software." + "Компания Prevx сообщила о появлении "самого продвинутого" руткита под 64-битную версию операционной системы Windows 7." = "GFI Software выпустила новую версию руткита"?
0 |
17-11-2010 14:46:43
проснулся секлаб Согласно данным этой компании, руткит TDL4 проникает в 64-битные Windows 7на хабре 1го сентября ещё написали про него
0 |
17-11-2010 14:51:47
и от 26 августа статья http://www.prevx.com/blog/154/TDL-rootkit-x-goes-in-the-wild.html
0 |
31337
17-11-2010 13:32:56
уметь бороться с вирусами = уметь писать вирусы
0 |
Ecco
17-11-2010 13:42:30
Зачем только?
0 |
31337
17-11-2010 14:39:03
оргазм извращенного мозга
0 |
42591
17-11-2010 14:40:00
$$$ еще вопросы?
0 |
17-11-2010 19:33:25
Да, имею пару вопросов. Неужели ты думаешь, за пару десятилетий ни в одной антивирусной фирме не нашлось программиста, недовольного начальством? Что бы обиделся и заложил работодателя. Какие еще ты знаешь преступные организации, которые не допустили ни одного прокола в своей преступной деятельности за столько лет? (А антивирусные компании пока официально на вирусописательстве не ловил)
0 |
вантуз
17-11-2010 13:43:21
во-первых, это буткит, во-вторых, TDL уже давно функционирует под x64
0 |
ФединаПопа
18-11-2010 12:39:24
Как всегда заплатка только в след вторник???
0 |
18-11-2010 13:09:28
Ага. В следующий. В следующем месяце только. В этом месяце "джентльменский набор" уже выпущен
0 |
Firza
20-11-2010 14:29:41
В ближайшем будущем не будет никакой заплатки, потому что речь не идет о какой та уязвимости Windows 7 64bit. Речь идет о вредоносной программе, которая запушенная пользователям с правами Администратора (пользователь, в UAC, должен одобрить установку данной программы), умет обходит защитные механизмы Windows 7/64.
0 |
20-11-2010 23:25:19
Проверку цифровой подписи драйверов можно отключить и вручную. Многие это делают из за несовместимости Windows 7 и драйверов под прежние системы.
0 |